CAPITULO 7 - AMENAZAS LOGICAS

SEGURIDAD INFORMATICA – EQUIPO 9

1 CAPITULO 7: AMENAZAS LOGICAS

La entropía es una magnitud termodinámica que cuantifica el grado de desorden de un sistema.

• Los protocolos de comunicación utilizados carecen, en su mayoría, de seguridad o

Esta ha sido implementada, tiempo después de su creación, en forma de “parche”.

• Existen agujeros de seguridad en los sistemas operativos.

• Existen agujeros de seguridad en las aplicaciones.

• Existen errores en las configuraciones de los sistemas.

• Los usuarios carecen de información respecto al tema.

• Todo sistema es inseguro.

“La seguridad de un sistema es tan fuerte

como su punto más débil... La seguridad

total no existe pero si la mínima

Inseguridad”

infohack.org



7.1 ACCESO-USO-AUTORIZACION. Específicamente “acceso” y “hacer uso” no es el mismo concepto desde el punto de vista de un

usuario. Por ejemplo:

Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un

recurso.

Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del

sistema.

Pero, cuando un atacante hace uso desautorizado de un sistema esto implica que el acceso

fue autorizado (simulación de usuario).

7.2 DETENCION DE INTRUSOS 1996, Dan Farmer realizo un estudio sobre seguridad analizando 2.203 sistemas de sitios en

internet, lo realizo empleando técnicas sencillas y no instructivas.

En los rojos suponen que el sistema está abierto a un atacante potencial, es decir, posee problemas

de seguridad por ejemplo: el servicio FTP anónimo mal configurado

En los amarillos implican que el problema no compromete inmediatamente al sistema pero puede

causarle serios daños.

TABLA DE VULNERABILIDAD.

TABLA DE VULNERABILIDAD

TIPO DE SITIO #TOTAL DE

SITIOS

% TOTAL

VULNERABLES

% YELLOW %RED

BANCOS 660 68,34 32,73 35,61

CREDITOS 274 51,1 30,66 20,44

SITIOS

FEDERALES US

47 61,7 23,4 38,3

NEWS 312 69,55 30,77 38,78

SEXO 451 66,08 40,58 25,5

TOTALES 1.734 64,93 33,85 31,08

GRUPO

ALEATORIO

469 33,05 15,78 17,27



7.3 INDENTIFICACION DE LAS AMENAZAS. LAS CONSECUENCIAS DE LOS ATAQUES SE PODRIAN CLASIFICAR EN:

DATA CORRUPCION: La información que no contenía defectos pasa a tenerlos.

DENIAL OS SEVICIE (DOS): Servicios que deberían estar disponibles no lo están.

LEAKAGE: Los datos llegan a nuestro destino a los que no deberían llegar.

El CERT viene desarrollando una serie de estadísticas que registran ataques informáticos cada vez

más sofisticados, automáticos y difíciles de rastrear.

Cualquier adolecente de 15 años, sin tener conocimientos pero con una herramienta de ataque

desarrollada por los Gurús, es capaz de dejar afuera de servicio a cualquier servidor de información

de cualquier organismo en internet.

7.4 TIPOS DE ATAQUE. Los ataques involucran poca sofisticación técnica, a través de los años se han desarrollado formas

cada vez más sofisticadas. Los insiders utilizaban sus permisos para alterar los archivos o registros.

Los Outsiders ingresaban a la red simplemente averiguando un password valida.

Cabe destacar que para la utilización de estas técnicas no será necesario contar con grandes centros

de cómputo.

Cada uno de los ataques abajo descriptos serán dirigidos remotamente se define;

ATAQUE REMOTO: un ataque iniciado contra una máquina, el atacante no tiene control físico. Esta

máquina es distinta a la usada por el atacante y será llamada VICTIMA

7.4.1 INGENIERIA SOCIAL. Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos. Si el

atacante tiene experiencia suficiente, puede engañar fácilmente a un usuario. Esta técnica es una

de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.

Para evitar situaciones de IS es conveniente tener en cuenta estas recomendaciones:

Tener servicio técnico propio o de confianza

Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier

característica del sistema.

Asegurarse que las personas que llaman por teléfono son quien dicen ser.



7.4.2 INGENIERIA SOCIAL INVERSA. En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios

La ISI es más difícil de llevar a cabo y por lo general se aplica cuando los usuarios están alterando de

cerca de las técnicas de IS. Puede usarse en algunas situaciones específicas y después de mucha

preparación e investigación por parte del intruso:

1.- generación de una falla en el funcionamiento normal del sistema. Generalmente esta falla es

fácil de solucionar pero puede ser difícil de encontrar por los usuarios inexpertos (sabotaje).

Requiere que el intruso tenga un mínimo contacto con el sistema.

2.- comulación a los usuarios de que la solución es brindada por el intruso (publicidad).

3.- provisión de ayuda por parte del intruso encubierto como servicio técnico.

7.4.3 TRASHING (CARTONEO). El trashing puede ser físico o lógico, como analizar buffer de impresora y memoria, bloques de

discos, etc.

El trashing físico suele ser común en organizaciones que no disponen de alta confidencialidad.

7.4.4 ATAQUES DE MONITORIZACION. Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivó de obtener

información.

7.4.4.1 SHOULDER SURFING. El surfing explota el error de los usuarios de dejar su login y passwords anotadas cerca de la

computadora cualquier intruso puede ver y memorizarlos, otra técnica relacionada el surfing es

aquella mediante la cual se ve, por encima del hombro, el usuario cuando teclea su nombre y

password.

7.4.4.2 DECOY (SEÑUELOS) Los decoy son programas diseñados con la misma interface que otro original, se imita la solicitud

de un logeo y el usuario desprevenido, el programa guardara esta información y dejara paso a las

actividades normales del sistema.

7.4.4.3 SACANNING (BUSQUEDA) El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados. La

idea es recorrer tantos puertos de escucha como sea posible, y guardar información de aquellos que

sean receptivos o de utilidad.

La idea básica es simple: llamar a un número y si el modem devuelve un mensaje de conectado,

grabar el número. En otro caso, la computadora cuelga el teléfono y llamas al siguiente número.

Existen diversos tipos de Scanning las técnicas, puertos y protocolos explotados.



7.4.4.3.1 TCP CONNECT SCANNING.

Esta es la forma básica del Scaneo de puertos TCP. Si el puerto está escuchando, devolverá una

respuesta de éxito.

Las ventajas que tiene esta técnica es que no necesita de privilegios especiales y su gran velocidad.

Su principal desventaja es que este método es fácilmente detectable por el admistrador del

sistema.

7.4.4.3.2 TCP SYN Scanning

Cuando dos procesos establecen una comunicación usan el modelo cliente/servidor. La aplicación

del Servidor “escucha” todo lo que ingresa por los puertos.

La información de control de la llamada Handshke se intercambia entre el clienta y el servicio para

establecer un dialogo antes de transmitir datos.

El protocolo TCP de internet, sobre el que se basa la mayoría de los servicios implica esta conexión

entre dos máquinas.

El establecimiento de dicha conexión se realiza mediante lo que se llama Three-Way Handshake ya

que requiere tres segmentos:

1.- el programa cliente pide conexión al servidor enviándole un segmento SYN. Este segmente le

dice al (s) que C desea establecer una conexión.

2.-S (si está abierto y escuchando) al recibir este segmento SYN (activa el indicador) y envía una

autentificación ACK de manera de acuse de recibido a C. si S está cerrado envía un indicador RST.

Cuando las aplicaciones conectadas terminan la transferencia, realizaran otra negociación a tres

bandas con segmentos FIN en vez SNY.

7.4.4.3.3 TCP FIN Scanning – Stealth Port Scanning

Este tipo de Scaneo está basado en la idea de que los puertos cerrados tienden a responder a los

paquetes FIN con el RST correspondiente.

Este es comportamiento correcto del protocolo TCP, aunque algunos sistemas, entre los que se

hallan los de Microsoft, no cumplen con este requerimiento.

7.4.4.3.4 FRAGMENTION SCANNING

Esta no es una nueva técnica de Scaneo. En lugar de enviar paquetes completos de sondeo, los

mismo se particionan en un par de fragmentos IP, sin embargo algunas implementaciones de estas

técnicas tienen problemas con la gestión de este tipo de paquetes tan pequeños.



7.4.4.4 EAVESDROPPING-PACKET SNIFFING. Esto se realiza con packet sniffers, son programas que monitorean los paquetes que circulan por la

red. Los sniffers pueden ser colocados en una estación de trabajo conectada a la red, como a un

equipo router o a un Gateway de internet.

Un sniffers consistes en colocar a la placa de red en un modo llamado promiscuo, el cual desactiva el

filtro de verificación de direcciones.

Existen sniffers para capturar cualquier tipo de información. Por ejemplo passwords de un recurso

compartido, también son utilizados para capturar números de tarjetas de crédito y direcciones de e-

mails entrantes y salientes

7.4.4.5 SNOOPING – DOWNLOADING Los ataques de esta categoría tienen el mismo objetivo que el sniffing, sin embargo los métodos son

diferentes.

El snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de

espionaje y robo de información o software.

7.4.5 ATAQUES DE AUTENTIFICACION. Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo.

7.4.5.1 SPOOFING – LOOPING Una forma común de snooping es conseguir el nombre y password de un usuario una vez ingresado

al sistema, tomar acciones en nombre de él.

El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza

este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping tiene la finalidad de

“evaporar” la identificación y la ubicación del atacante.

Muchos ataques de este tipo comienzan con ingeniera social y los usuarios.

7.4.5.2 SPOOFING Suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques

tipos spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el web Spoofing.

7.4.5.2.1 IP SPOOFING

Con el IP spoofing, el atacante genera paquetes de internet con una discusión de red falsa en el

campo Fromm, pero que es aceptada por el destinario del paquete.

7.4.5.2.2 DNS SPOOFING

Este ataque se consigue de paquetes de UDP pudiéndose comprometer el servidor de nombres de

dominios.



7.4.5.3 WEB SPOOFING. En la caso web spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea

entrar permitiéndole monitorear todas las acciones de la víctima, desde sus datos hasta las

passwords.

7.4.5.4 IP SPLICING – HIJACKING Un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la víctima se

identifique ante el sistema y tras ellos le suplanta como usuario autorizado para entender

expliquemos una situación:

1.- el cliente establece una conexión con un servidor enviando un paquete que contendrá la

dirección origen, destino, número de secuencia y un número de autentificación utilizado por el

servidor para reconocer el paquete siguiente en la secuencia.

2.- el servidor, luego de recibir el primer paquete contesta al cliente con paquete echo (recibido)

3.- el cliente envía un paquete ACK al servidor, sin datos, en donde lo comunica lo “perfecto” de la

comunicación.

4.- el atacante que ha visto, mediante un Sniffer, los paquetes que circularon por la red calcula el

número de secuencia siguiente.

5.- hecho esto el atacante envía un paquete.

El servidor al recibir los datos no detectará el cambio de origen ya que los campos que ha recibido

esperando datos como si su conexión estuviera colgada y el atacante podrá seguir enviando datos

mediante el procedimiento descripto.

7.4.5.5 UTILIZACION DE BACKDOORS Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse

los métodos usuales de autentificación para realizar ciertas tareas.

Esta situación se convierte en una falla de seguridad si se mantiene, involuntaria o

intencionalmente.

7.4.5.6 UTILIZAVIONDE DE EXPLOITS Es muy frecuente ingresar a un sistema explotando agujeros, los programas para explotar estos

agujeros que realizan es aprovechar la debilidad, fallo o error hallado en el sistema para ingresar al

mismo

Nuevos Exploits se publican cada día por lo que mantenerse informado de los mismo y de las

herramientas.



7.4.5.7 OBTENCION DE PASSWORDS Este método comprende la obtención por “Fuerza Bruta” de aquellas claves que Permiten ingresar a

los sistemas, aplicaciones, cuentas, etc. atacados.

Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u Otro dato

familiar del usuario y, además, esta nunca (o rara vez) se cambia. En este caso el Ataque se

simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan Ataques sistemáticos

(incluso con varias computadoras a la vez) con la ayuda de programas Especiales y “diccionarios”

que prueban millones de posibles claves hasta encontrar la Password correcta.

7.4.5.7.1 USO DE DICCIONARIOS

Los Diccionarios son archivos con millones de palabras, las cuales pueden ser posibles Passwords de

los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas De fuerza bruta.

El programa encargado de probar cada una de las palabras encriptadas cada una de ellas, Mediante

el algoritmo utilizado por el sistema atacado, y compara la palabra encriptada contra el archivo de

passwords del sistema atacado (previamente obtenido). Si coinciden se ha encontrado la clave de

acceso al sistema, mediante el usuario correspondiente a la clave hallada.

La velocidad de búsqueda se supone en 100.000 passwords por segundo, aunque este número suele

ser mucho mayor dependiendo del programa utilizado.

51 minutos 6 horas 2,3 dias 3 meses 22,3 horas 9 días 4 meses 24 años 24 días 10,5 meses 17 años 2.288 años 21 meses 32,6 años 890 años 219.601 años 45 años 1.160 años 45.840 años 21.081.705 años



7.4.6 DENIAL OF SEVICE (DOS) Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad

abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el

funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen

como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados

por la misma.

Más allá del simple hecho de bloquear los servicios del cliente, existen algunas razones importantes

por las cuales este tipo de ataques pueden ser útiles a un atacante:

1. Se ha instalado un troyano y se necesita que la víctima reinicie la máquina para que

surta efecto.

2. Se necesita cubrir inmediatamente sus acciones o un uso abusivo de CPU. Para ello

provoca un “crash” del sistema, generando así la sensación de que ha sido algo

pasajero y raro.

3. El intruso cree que actúa bien al dejar fuera de servicio algún sitio web que le

disgusta. Este accionar es común en sitios pornográficos, religiosos o de abuso de

menores.

4. El administrador del sistema quiere comprobar que sus instalaciones no son

vulnerables a este tipo de ataques.

5. El administrador del sistema tiene un proceso que no puede “matar” en su servidor y,

debido a este, no puede acceder al sistema. Para ello, lanza contra sí mismo un ataque

DOS deteniendo los servicios.

7.4.6.1 JAMMING O FLOODING Este tipo de ataques desactivan o saturan los recursos del sistema.

El atacante satura el sistema con mensajes que requieren establecer conexión. Sin embargo, en vez

de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP usando Spoofing y

Looping. El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con

información de las conexiones abiertas, no dejando lugar a las conexiones legítimas.

7.4.6.2 SYN FLOOD El protocolo TCP se basa en una conexión en tres pasos. Pero, si el paso final no llega a establecerse,

la conexión permanece en un estado denominado “semi-abierto”.

El SYN Flood es el más famoso de los ataques del tipo Denial of Service, publicado por primera vez

en la revista under Phrack; y se basa en un “saludo” incompleto entre los dos hosts.

El Cliente envía un paquete SYN pero no responde al paquete ACK ocasionando que la pila TCP/IP

espere cierta cantidad de tiempo a que el Host hostil responda antes de cerrar la conexión. Si se

crean muchas peticiones incompletas de conexión (no se responde a ninguna), el Servidor estará

inactivo mucho tiempo esperando respuesta. Esto ocasiona la lentitud en los demás servicios.



SYN Flood aprovecha la mala implementación del protocolo TCP, funcionando de la siguiente

manera:

• Se envía al destino, una serie de paquetes TCP con el bit SYN activado, (petición de

conexión) desde una dirección IP Spoofeada. Esta última debe ser inexistente para que el

destino no pueda completar el saludo con el cliente.

• Aquí radica el fallo de TCP: ICMP reporta que el cliente es inexistente, pero TCP ignora el

mensaje y sigue intentando terminar el saludo con el cliente de forma continua.

• Cuando se realiza un Ping a una máquina, esta tiene que procesarlo. Si no es un Ping, sino

que son varios a la vez, la máquina se vuelve más lenta... si lo que se recibe son miles de

solicitudes, puede que el equipo deje de responder

• Es obligatorio que la IP origen sea inexistente, ya que sino el objetivo, logrará responderle al cliente con un SYN/ACK, y como esa IP no pidió ninguna conexión, le va a responder al objetivo con un RST, y el ataque no tendrá efecto.

7.4.6.3 CONNECTION FLOOD Si un atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la

capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante

sólo necesita intentar nuevas conexiones, (como ocurre con el caso del SYN Flood) para mantener

fuera de servicio el servidor.

7.4.6.4 NET FLOOD La red víctima no puede hacer nada. Aunque filtre el tráfico en sus sistemas, sus líneas estarán

saturadas con tráfico malicioso, incapacitándolas para cursar tráfico útil.

En el caso de Net Flooding El atacante envía tantos paquetes de solicitud de conexión que las

conexiones auténticas simplemente no pueden competir.

En casos así el primer paso a realizar es el ponerse en contacto con el Proveedor del servicio para

que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en su

extremo de la línea.

El siguiente paso consiste en localizar las fuentes del ataque e informar a sus administradores, ya

que seguramente se estarán usando sus recursos sin su conocimiento y consentimiento. Si el

atacante emplea IP Spoofing, el rastreo puede ser casi imposible, ya que en muchos casos la fuente

del ataque es, a su vez, víctima y el origen último puede ser prácticamente imposible de determinar.

7.4.6.5 LAND ATTACK Este ataque consiste en un Bug (error) en la implementación de la pila TCP/IP de las plataformas

Windows©.

El ataque consiste en mandar a algún puerto abierto de un servidor (generalmente al NetBIOS 113 o

139) un paquete, maliciosamente construido, con la dirección y puerto origen igual que la dirección

y puerto destino.



7.4.6.6 SMURF O BROADCAST STORM Consiste en recolectar una serie de direcciones BroadCast para, a continuación, mandar una petición

ICMP a cada una de ellas en serie, varias veces, falsificando la dirección IP de origen (máquina

víctima).

Este paquete maliciosamente manipulado, será repetido en difusión (Broadcast), y cientos o miles

de hosts mandarán una respuesta a la víctima cuya dirección IP figura en el paquete ICMP.

7.4.6.7 OOB, SUPERNUKE O WINNUKE Un ataque característico, y quizás el más común, de los equipos con Windows© es el139, queden

fuera de servicio, o disminuyan su rendimiento al enviarle paquetes UDP manipulados. Nuke, que

hace que los equipos que escuchan por el puerto NetBIOS sobre TCP/UDP 137 a

7.4.6.8 TEARDROP I Y II –NEWTEAR- BONK –BOINK Los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes. Algunas implementaciones

de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el

sistema se cuelgue. Windows NT© 4.0 de Microsoft® es especialmente vulnerable a este ataque.

Aunque existen Patchs (parches) que pueden aplicarse para solucionar el problema, muchas

organizaciones no lo hacen, y las consecuencias pueden ser devastadoras.



7.4.6.9 E-MAIL BOMBING – SPAMMING El e-mail Bombing consiste en enviar muchas veces un mensaje idéntico a una misma dirección,

saturando así el mail box del destinatario.

El Spamming, en cambio se refiere a enviar un e–mail a miles de usuarios, hayan estos solicitados el

mensaje o no. Es muy utilizado por las empresas para publicitar sus productos.

7.4.7 ATAQUES DE MODIFICACION – DAÑO

7.4.7.1 TAMPERING O DATA DIDDLING Se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima,

incluyendo borrado de archivos. Son particularmente serios cuando el que lo realiza ha obtenido

derechos de administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende

alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema.

7.4.7.2 BORRADO DE HUELLAS El borrado de huellas es una de las tareas más importantes que debe realizar el intruso después de

ingresar en un sistema, ya que, si se detecta su ingreso, el administrador buscará como conseguir

“tapar el hueco” de seguridad, evitar ataques futuros e incluso rastrear al atacante.

Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo general son almacenadas

en Logs por el sistema operativo.

7.4.7.3 ATAQUES MEDIANTE JAVA APPLETS Java es un lenguaje de programación interpretado, desarrollado inicialmente por la empresa SUN.

Su mayor popularidad la merece por su alto grado de seguridad. Los más usados navegadores

actuales, implementan Máquinas Virtuales Java para ser capaces de ejecutar programas de Java.

Las restricciones a las que somete a los Applets son de tal envergadura que es muy difícil lanzar

ataques. Sin embargo, existe un grupo de expertos especializados en descubrir fallas de seguridad

en las implementaciones de las MVJ.

7.4.7.4 ATAQUES CON JAVA SCRIPT Y VBSCRIPT JavaScript y VBScript son dos lenguajes usados por los diseñadores de sitios Web para evitar el uso

de Java. Los programas realizados son interpretados por el navegador.



7.4.7.5 ATAQUES MEDIANTE ACTIVEX ActiveX es una de las tecnologías más potentes que ha desarrollado Microsoft®. Mediante ActiveX es

posible reutilizar código, descargar código totalmente funcional de un sitio remoto, etc. Esta

tecnología es considerada la respuesta de Microsoft® a Java.

ActiveX soluciona los problemas de seguridad mediante certificados y firmas digitales. Una

Autoridad Certificadora expende un certificado que acompaña a los controles activos y a una firma

digital del programador.

Cuando un usuario descarga una página con un control, se le preguntará si confía en la AC que

expendió el certificado y/o en el control ActiveX. Si el usuario acepta el control, éste puede pasar a

ejecutarse sin ningún tipo de restricciones. Es decir, la responsabilidad de la seguridad del sistema

se deja en manos del usuario, ya sea este un experto cibernauta consciente de los riesgos que puede

acarrear la acción o un perfecto novato en la materia.

7.4.7.6 VULNERABILIDADES EN LOS NAVEGADORES Generalmente los navegadores no fallan por fallos intrínsecos, sino que fallan las tecnologías que

implementan, aunque en este punto analizaremos realmente fallos intrínsecos de los navegadores,

como pueden ser los “Buffer Overflow”. Los “Buffer Overflows” consisten en explotar una debilidad

relacionada con los buffers que la aplicación usa para almacenar las entradas de usuario.

Los protocolo usado puede ser HTTP, pero también otros menos conocidos, internos de cada

explorador, como el “res:” o el “mk:”. Precisamente existen fallos de seguridad del tipo “Buffer

Overflow” en la implementación de estos dos protocolos.

7.4.8 ERORES DE DISEÑO, IMPLEMENTACION Y OPERACIÓN Muchos sistemas están expuestos a “agujeros” de seguridad que son explotados para acceder a

archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por variadas

razones, y miles de “puertas invisibles” son descubiertas cada día en sistemas operativos,

aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y toda clase

de servicios informáticos disponibles.



7.4.9 IMPLEMENTACION DE ESTAS TECNICAS Contrariamente a lo que se piensa, los sistemas son difíciles de penetrar si están bien

Administrados y configurados. Ocasionalmente los defectos propios de la arquitectura de los

Sistemas proporciona un fácil acceso, pero esto puede ser, en la mayoría de los casos,

Subsanado aplicando las soluciones halladas.

1. Identificación del problema (victima)

2. Exploración del sistema victima elegido

3. Enumeración

4. Intrusión propiamente dicha

Cada una de las técnicas puede ser utilizada por un intruso en un ataque. A continuación se

establece el orden de utilización de las mismas

7.4.10 ¿COMO DEFENDERSE DE ESTOS ATAQUES? La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet y a los

sistemas operativos utilizados, por lo que no son “solucionables” en un plazo breve de tiempo.

La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques

existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de

software, principalmente de sistemas operativos.

Las siguientes son medidas preventivas.

1. Mantener las máquinas actualizadas y seguras físicamente

2. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo).

3. Aunque una máquina no contenga información valiosa, hay que tener en cuenta

Que puede resultar útil para un atacante, a la hora de ser empleada en un DOS

Coordinado o para ocultar su verdadera dirección.

4. No permitir el tráfico “BroadCast” desde fuera de nuestra red. De esta forma evitamos ser

empleados como “multiplicadores” durante un ataque Smurf.

5. Filtrar el tráfico IP Spoof.

6. Auditorias de seguridad y sistemas de detección.

7. Mantenerse informado constantemente sobre cada una de las vulnerabilidades

Encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas

Que brinden este servicio de información.

8. Por último, pero quizás lo más importante, la capacitación continua del usuario

7.5 CREACION Y DIFUSION DE VIRUS Este es un tema del ámbito informático del cual se habla y se crean muchos mitos e historias

fantásticas; La palabra virus del latín veneno.



7.5.1 VIRUS INFORMATICOS VS VIRUS BIOLOGICOS Antes de todo deben saber que un virus corresponde al modelo DAS: Dañino, Autor replicante y

Subrepticio.

• Virus Informático: Pequeño programa, invisible para el usuario, cuyo código incluye

información suficiente para que, pueda reproducirse formando réplicas de sí mismo,

susceptibles de mutar, como resultado tendremos alteraciones y/o destrucción de los

programas, información y/o hardware afectados (en forma lógica).

• Virus Biológico: Fragmentos de ADN o ARN cubiertos de una capa proteica. Se reproducen

solo en las células vivas.

Algunas analogías entre ambos son:

1) Ambos inician su actividad en forma oculta y sin conocimiento de su huésped, y suelen

hacerse evidentes luego de que el daño ya es demasiado alto como para corregirse.

2) Los dos contienen la información para su replicación y eventual destrucción. La diferencia es

que el biológico es un código genético y el informático es un código binario.

3) Ambos organismos soportan información es decir, en los biológicos el soporte lo brinda el

ADN y ARN; Mientras los informáticos el soporte es un medio magnéticos.

4) Estos dos virus son propagados en muchas formas en algunas muy raramente.

5) Ambas entidades cumplen con el patrón de epidemiologia médica.

Estas son solo unas de las pocas analogías que podríamos encontrar haciendo un análisis

más a fondo.

7.5.2 ORIGEN El origen del virus informático se establece gracias a las investigaciones sobre inteligencia y

vida artificial. En 1950 JOHN VON NEUMAN estableció la idea de programas autor

replicables.

En 1960 el laboratorio de BELL desarrollo juegos que “luchaban” entre sí con el objetivo de

lograr el mayor espacio de memoria posible, a estos juegos les llamaron Core Wars.

En 1970, JOHN SHOCH Y JON HUPP elaboraron programas autor reclinables que servían para

controlar la salud de las redes informáticas.

En los años 80 nacen los primeros virus informáticos y en 1983 se establece una definición

para los mismos. EN 1985 infectaban el MS-DOS y en 1986 ya eran destructivos.



7.5.3 LOS NUMEROS HABLAN A finales de 1994 el número de virus, según la Internacional Computer Security Association,

rondaba en los cuatro mil y en el próximo años esa cifra se multiplico al doble.

En E.U. más del 99% de las empresas grandes y medianas han sufrido el ataque de un virus.

Se calcula, que el 40.6% de las P.C son infectadas al año, estas infecciones han yendo

subiendo por cada año que transcurre.

Según la NCSA, si solo el 30% de todas las PCs del mundo usaran un antivirus actualizado y

activo permanentemente, se terminarían las infecciones de virus.

Desde el 17 al 31 de julio del 2000 el ministerio de ciencias y tecnologías de España,

montaron la primera campaña nacional antivirus informático.

7.5.4 DESCRIPCION DE UN VIRUS El virus informático es un ataque de tipo tampering, este puede ser ingresado al sistema por

un dispositivo externo (USB) o a través de la red (Facebook). Existen muchos tipos de virus

como los que infectan a los archivos ejecutables (EXE, COM, DLL, ETC), los sectores de Boot y

la tabla de partición de los discos, aunque actualmente los virus suelen causar más

problemas como lo son los macro-virus y los script-virus.

7.5.4.1 TECNICAS DE PROPAGACION

Actualmente existen muchos tipos de propagación de virus de las cuales las más

utilizadas son las siguientes:

1) Disquete y otros medios removibles: En este se corre el riesgo de que algún archivo este

infectado se une el peligro de que integre un virus de sector de arranque.

2) Correo electrónico: Estos correos pueden contener archivos infectados, que al ejecutarse,

contagian la computadora del usuario.

3) IRC o Chat: Este es un medio de mensajería instantánea en donde el usuario puede recibir

algún documento o archivo de alguna persona anónima con riesgo de que tal objeto enviado

contenga virus.

4) Páginas web o transferencia de archivos vía FTP: Los archivos descargados pueden contener

virus que dañaran la máquina.

5) Grupos de noticias: Sus mensajes o información pueden estar infectados, por lo tanto,

contagiaran el equipo.

7.5.4.2 TIPOS DE VIRUS Un virus puede causar daño lógico o físico de la computadora infectada y nadie en su sano juicio

deseará ejecutarlo.

Para evitar la intervención del usuario los creadores de virus debieron inventar técnicas de las cuales

valerse para que su “programa” pudiera ejecutarse.



7.5.4.2.1 ARCHIVOS EJECUTABLES (VIRUS EXE VIR)

El virus se adosa a un archivo ejecutable y desvía el flujo de ejecución a su código, para luego

retornar al huésped y ejecutar las acciones esperadas por el usuario. Esta acción el usuario no se

percata de lo sucedido. Una vez que el virus es ejecutado se aloja en memoria y puede infectar otros

archivos ejecutables que sean abiertos en esa máquina.

7.5.4.2.2 VIRUS EN EL SECTOR DE ARRANQUE (VIRUS ACSO

ANTERIOR A LA CARGA DEL S.O)

Se guarda la zona de booteo original en otro sector del disco (generalmente uno muy cercano o los

más altos). Luego el virus carga la antigua zona de booteo. Al arrancar un dispositivo booteable se

ejecuta el virus (que obligatoriamente debe tener 512 bytes o menos) quedando residente en

memoria; luego ejecuta la zona de booteo original, salvada anteriormente. Una vez más el usuario

no se percata de lo sucedido ya que la zona de booteo se ejecuta iniciando el sistema operativo (si

existiera) o informando la falta del mismo.



7.5.4.2.3 VIRUS RESIDENTE

El objetivo de esta acción es controlar los accesos a disco realizados por el usuario y el Sistema

Operativo. Cada vez que se produce un acceso, el virus verifica si el disco o archivo objetivo al que se

accede, está infectado y si no lo está procede a almacenar su propio código en el mismo. Este código

se almacenará en un archivo, tabla de partición, o en el sector de booteo, dependiendo del tipo de

virus que se trate.

7.5.4.2.4 MACRO VIRUS

Estos virus infectan archivos de información generados por aplicaciones de oficina que cuentan con

lenguajes de programación de macros. Últimamente son los más expandidos, ya que todos los

usuarios necesitan hacer intercambio de documentos para realizar su trabajo.

Su principal punto fuerte fue que terminaron con un paradigma de la seguridad informática: “los

únicos archivos que pueden infectarse son los ejecutables” y todas las tecnologías antivirus

sucumbieron ante este nuevo ataque.

7.4.5.2.5 VIRUS DE MAIL

Su modo de actuar, al igual que los anteriores, se basa en la confianza excesiva por parte del

usuario: a este le llega vía mail un mensaje con un archivo comprimido, el usuario lo descomprime y

al terminar esta acción, el contenido del archivo se ejecuta y comienza el daño.



7.5.4.2.6 VIRUS DE SABOTAJE

Son virus construidos para sabotear un sistema o entorno específico. Requieren de conocimientos de programación pero también una acción de inteligencia que provea información sobre el objetivo y sus sistemas.

7.5.4.2.7 HOAX, LOS VIUS FANTASMAS

El auge del correo electrónico generó la posibilidad de transmitir mensajes de alerta de seguridad.

Así comenzaron a circular mensajes de distinta índole de casos inexistentes. Los objetivos de estas

alertas pueden causar alarma, la pérdida de tiempo, el robo de direcciones de correo y la saturación

de los servidores con las consecuentes pérdidas de dinero que esto ocasiona.

7.5.4.2.8 VIRUS DE APPLETS JAVA Y CONTROLES ACTIVEX

Estas dos tecnologías han sido desarrolladas teniendo como meta principal la seguridad, la práctica

demuestra que es posible programar virus sobre ellas. Este tipo de virus se copian y se ejecutan a sí

mismos mientras el usuario mantiene una conexión a Internet.

7.5.4.2.8 REPRODUCTORES – GUSANOS

Son programas que se reproducen constantemente hasta agotar totalmente los recursos del sistema

huésped y/o recopilar información relevante para enviarla a un equipo al cual su creador tiene

acceso.

7.5.4.2.10 CABALLOS DE TROYA

Es un programa que aparentemente realiza una función útil pero además realiza una operación que

el usuario desconoce y que generalmente beneficia al autor del troyano o daña el sistema huésped.

Consisten en introducir dentro de un programa una rutina o conjunto de instrucciones, no

autorizadas y que la persona que lo ejecuta no conoce, para que dicho programa actúe de una

forma diferente a como estaba previsto.

7.5.4.2.11 BOMBAS LOGICAS

Consiste en introducir un programa o rutina que en una fecha determinada o dado algún evento

particular en el sistema, bien destruye y modifica la información o provoca la baja del sistema.



7.5.4.3 MODELO DE VIRUS INFORMATICO Un virus está compuesto por su propio entorno, dentro del cual pueden distinguirse tres módulos

principales:

1. Módulo de reproducción: es el encargado de manejar las rutinas de parasitación de

entidades ejecutables.

2. Módulo de ataques: es el que maneja las rutinas de daño adicional al virus.

3. Módulo de defensa: este módulo, también optativo, tiene la misión de proteger al

virus.

7.5.5 TIPOS DE DAÑOS OCASIONADOS POR LOS VIRUS Los virus informáticos no afectan directamente el hardware sino a través de los programas que lo

controlan; en ocasiones no contienen código nocivo, o bien, únicamente causan daño al

reproducirse y utilizar recursos escasos como el espacio en el disco rígido, tiempo de

procesamiento, memoria, etc. En general los daños que pueden causar los virus se refieren a hacer

que el sistema se detenga, borrado de archivos, comportamiento erróneo de la pantalla, despliegue

de mensajes, desorden en los datos del disco, aumento del tamaño de los archivos ejecutables o

reducción de la memoria total.

Se pueden dividir en:

a. Daño implícito

b. Daño explicito

Con respecto al modo y cantidad del daño, encontramos:

a. Daños triviales

b. Daños menores

c. Daños moderados

d. Daños mayores

e. Daños severos

f. Daños ilimitados



7.5.6 LOS AUTORES Los creadores de virus sostienen que persiguen un fin educacional para ilustrar las flaquezas de los

sistemas a los que atacan. Pero... ¿es necesario crear un problema para mostrar otro?

La creación de virus no es ilegal, y probablemente no debería serlo: cualquiera es dueño de crear un

virus siempre y cuando lo guarde para sí. Infectar a otras computadoras sin el consentimiento de sus

usuarios es inaceptable, esto sí es un delito y debería ser penado.

7.5.7 PROGRAMA ANTIVIRUS Un antivirus es una gran base de datos con la huella digital de todos los virus conocidos para

identificarlos y también con las pautas que más contienen los virus.

Debe tenerse en cuenta que:

• Un programa antivirus forma parte del sistema y por lo tanto funcionará correctamente si es

adecuado y está bien configurado.

• No será eficaz el 100% de los casos, no existe la protección total y definitiva.

Las funciones Presentes en un antivirus son:

1. DETECCION

2. IDENTIFICACION DE UN VIRUS:

a. SCANNING

b. HEURISTICA

3. CHEQUEADORES DE INTEGRIDAD

7.5.7.1 MODELO DE UN ANTIVIRUS Un antivirus puede estar constituido por dos módulos principales y cada uno de ellos contener a

otros módulos.

Módulo de control

Módulo de respuesta



7.5.7.2 UTILIZACION DE LOS ANTIVIRUS En el caso de instalarse un antivirus en una computadora infectada, es probable que este también

sea infectado y su funcionamiento deje de ser confiable. Por lo tanto si se sospecha de la infección

de una computadora, nunca deben realizarse operaciones de instalación o desinfección desde la

misma. El procedimiento adecuado sería reiniciar el sistema y proceder a la limpieza desde un

sistema limpio y seguro.

7.5.8 CONSEJOS No basta con tener un antivirus, sino que éste hay que actualizarlo periódicamente para contemplar

los nuevos virus que van apareciendo.

Además de poseer la cualidad de chequeo manual, detección y eliminación, debe ser sobre todo

capaz de actuar como vacuna o filtro, impidiendo la entrada de los nuevos virus que aparecen cada

día.

A continuación se muestran unos consejos para evitar el contagio de un virus:

I. Instalar un buen antivirus para la detección y eliminación de nuevos virus.

II. Comprobar que el antivirus elegido incluye soporte técnico, resolución urgente de

nuevos virus y servicios de alerta, bien a través de correo electrónico, por teléfono

o fax.

III. Asegurarse que el antivirus este siempre activo vigilando constantemente todas

las operaciones realizadas en el sistema.

IV. Verificar, antes de abrir, cada nuevo mensaje de correo electrónico recibido.

V. Evitar la descarga de lugares no seguros o poco fiables de internet.

VI. Rechazar archivos que no se hayan solicitado cuando de este en chats o grupos de

noticias.

VII. Analizar siempre con un buen antivirus los dispositivos que entran y salen de

nuestra computadora.

VIII. Retirar los dispositivos de los puertos al apagar o reiniciar el ordenador.

IX. Analizar el contenido de los archivos comprimidos.

X. Mantenerse alerta ante acciones sospechosas de posibles virus.

XI. Añadir las opciones de seguridad de las aplicaciones que se utilizan normalmente

en la política de protección antivirus, ya que los programas informáticos más

utilizados se convierten, precisamente por esta razón, en blanco de los autores de

virus.



XII. Realizar copias de seguridad frecuente y periódica de la información más

importante.

XIII. A la hora de instalar nuevos programas, el riesgo de infección es menor (aunque

no nulo) si se trata de software legal.

XIV. Elegir a los fabricantes de software, proveedores de acceso a internet y editores de

publicaciones, que se impliquen en la lucha contra los virus.

Documents

CAPITULO 7 - AMENAZAS LOGICAS